7. Оценка риска нарушения информационной безопасности при аутсорсинге существенных функций
7.1. Аутсорсинг существенных функций организации БС РФ должен сопровождаться оценкой, надлежащим управлением и контролем организации БС РФ в отношении риска нарушения ИБ, реализуемыми в соответствии с политикой аутсорсинга.
7.2. Реализация организацией БС РФ программы аутсорсинга должна предусматривать следующие мероприятия:
- идентификация потенциального риска нарушения ИБ при аутсорсинге существенных функций, в том числе из видов риска, определенных в разделе 5 настоящего стандарта;
- оценка потенциального риска нарушения ИБ при аутсорсинге существенных функций;
- принятие решения о возможности аутсорсинга на основе результатов оценки риска нарушения ИБ;
- реализация последующего постоянного мониторинга и контроля уровня риска нарушения ИБ.
Ключевым фактором для реализации программ аутсорсинга является оценка потенциального риска нарушения ИБ, а также обеспечение возможности последующего мониторинга и контроля его уровня.
Идентификацию риска нарушения ИБ следует проводить на основе анализа состава бизнес-функций, планируемых к передаче на аутсорсинг, а также на основе анализа факторов нового риска нарушения ИБ, определенных в разделе 5 настоящего стандарта.
7.3. Для оценки потенциального риска нарушения ИБ и обеспечения возможности мониторинга и контроля его уровня организации БС РФ следует определить состав и проводить оценку (в том числе периодическую) показателей (метрик), характеризующих:
- степень возможности реализации риска нарушения ИБ (далее - СВР) в результате наличия факторов нового риска, приведенного в разделе 5 настоящего стандарта;
- степень тяжести последствий от реализации риска нарушения ИБ (далее - СТП) для реализации бизнес-функций организации БС РФ, переданных на аутсорсинг.
7.4. В качестве показателей (метрик), характеризующих СВР, организации БС РФ рекомендуется (среди прочих) рассмотреть использование следующих:
- оценка соблюдения требований законодательства РФ в области:
- обеспечения защиты информации, обработки ПДн и информации, содержащей банковскую тайну;
- обеспечения непрерывности предоставления финансовых услуг;
- обеспечения возможности организации БС РФ предоставить необходимую и достоверную информацию в рамках выполнения Банком России и уполномоченными органами исполнительной власти их надзорных (контрольных) функций;
- характеристика достижения целей обеспечения ИБ организации БС РФ;
- характеристика потенциала организации БС РФ, необходимого для контроля риска нарушения ИБ при аутсорсинге существенных функций;
- характеристика, определяющая требования к непрерывности предоставления финансовых услуг;
- характеристика, определяющая необходимый уровень защиты информации в соответствии с требованиями, установленными законодательством РФ;
- характеристика, определяющая наличие и функциональность системы обеспечения ИБ поставщика услуг;
- характеристика потенциала организации БС РФ, необходимого для обеспечения ИБ существенных функций после прекращения действия соглашения с поставщиком услуг или в случае отказа поставщика услуг от выполнения своих обязательств.
7.5. В качестве показателей (метрик), характеризующих СТП, организации БС РФ следует (среди прочих) рассмотреть использование следующих:
- общая сумма операций по переводу денежных средств, включая электронные денежные средства, осуществляемых через организацию БС РФ с использованием электронных технологий, связанных с бизнес-функцией, переданной на аутсорсинг;
- среднеквартальный остаток денежных средств, находящихся на корреспондентских счетах организации БС РФ, открытых в расчетных центрах платежных систем, в том числе в платежной системе Банка России;
- характеристика, определяющая уровень операционных расходов:
- операционные расходы (убытки) организации БС РФ, связанные с нарушением непрерывности предоставления финансовых услуг в результате НСД к ее информационной инфраструктуре или информационной инфраструктуре поставщика услуг;
- операционные расходы (убытки), связанные с совершением операций, имеющих финансовые последствия, в том числе переводов денежных средств, лицами, не обладающими соответствующими правами;
- операционные расходы (убытки) организации БС РФ в результате НСД к объектам ее информационной инфраструктуры, используемой для осуществления переводов денежных средств, или в результате использования электронных средств платежа без согласия клиентов;
- неприемлемые финансовые затраты организации БС РФ в случае отказа поставщика услуг от своих обязательств;
- невозможность организовать должный уровень обеспечения ИБ в случае необходимости возврата выполнения существенных функций в течение периода времени, приемлемого для организации БС РФ.
7.6. В качестве источников данных для показателя СВР могут быть использованы следующие оценки:
- собственная (экспертная) оценка организации БС РФ, выполненная ее работниками, обладающими необходимыми знаниями, опытом и компетенцией;
- оценка, выполненная аудиторской или консалтинговой организацией (независимой от поставщика услуг), обладающей необходимым опытом и компетенцией;
- оценка, выполненная на основе результатов проведения поставщиком услуг внешнего независимого аудита на соответствие применимым документам в области стандартизации, в первую очередь национальным стандартам РФ, разрабатываемым Банком России, отраслевым стандартам Банка России или иным применимым национальным стандартам РФ и международным стандартам, гармонизированным в установленном порядке в РФ (в том числе в соответствии с ГОСТ 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер" [17]).
7.7. Организации БС РФ следует выбирать те источники данных для оценки показателей СВР и СТП, которые смогут обеспечить наиболее достоверную и полную информацию для оценки риска нарушения ИБ при аутсорсинге существенных функций.
Выбор указанных показателей и источников их получения должен обеспечить возможность оценки наличия правовой возможности и экономической целесообразности при принятии решения об аутсорсинге существенных функций, а также возможности осуществления деятельности по должному мониторингу и контролю риска нарушения ИБ при аутсорсинге существенных функций.
Организации БС РФ следует учитывать, что определение показателей (факторов), характеризующих СВР и СТП, является ключевым элементом оценки, управления и контроля в отношении риска нарушения ИБ.
В качестве основы для выработки подходов к оценке риска нарушения ИБ может быть рекомендован подход, определенный в таблице 2.
Таблица 2. Рекомендации по определению и использованию
показателей (факторов) риска нарушения ИБ при аутсорсинге
существенных функций
(методика оценки риска определяется организацией БС РФ
самостоятельно на основе Рекомендаций в области
стандартизации Банка России (РС БР ИББС-2.2-2009)
"Обеспечение информационной безопасности организаций
банковской системы Российской Федерации. Методика оценки
рисков нарушения информационной безопасности")
|
Тип операционного риска
|
Возможная характеристика СВР
|
Возможный источник получения оценки СВР
|
Возможная характеристика СТП
|
Принятие решения о возможности аутсорсинга
|
|
Связанный с несоблюдением требований законодательства РФ (правовой)
|
Оценка соблюдения требований законодательства РФ в области:
- обеспечения защиты информации, обработки ПДн и информации, содержащей банковскую тайну;
- обеспечения непрерывности предоставления финансовых услуг;
- обеспечения возможности организации БС РФ предоставить необходимую и достоверную информацию в рамках выполнения Банком России и уполномоченными органами исполнительной власти их надзорных (контрольных) функций в области защиты информации
|
Собственная оценка организации БС РФ, выполненная ее работниками;
оценка, выполняемая консалтинговой организацией (независимой от поставщика услуг)
|
Наличие риска несоблюдения законодательства РФ
|
Однозначная невозможность передачи выполнения существенных функций на аутсорсинг;
аутсорсинг существенных функций невозможен
|
|
Связанный с потерей (невозможностью) контроля обеспечения ИБ поставщиком услуг
|
Оценка достижения целей обеспечения ИБ организации БС РФ;
оценка потенциала организации БС РФ обеспечить контроль риска нарушения ИБ при аутсорсинге существенных функций
|
Собственная оценка организации БС РФ, выполненная ее работниками;
оценка, выполняемая аудиторской или консалтинговой организацией (независимой от поставщика услуг)
|
Общая сумма операций по переводу денежных средств, включая электронные денежные средства, осуществляемых через организацию БС РФ с использованием электронных технологий;
среднеквартальный остаток денежных средств, находящихся на корреспондентских счетах организации БС РФ, открытых в расчетных центрах платежных систем, в том числе в платежной системе Банка России;
операционные расходы (убытки) организации БС РФ, связанные с нарушением непрерывности предоставления финансовых услуг в результате НСД к ее информационной инфраструктуре или информационной инфраструктуре поставщика услуг
|
Принимается самостоятельно организацией БС РФ на основании анализа показателей экономической целесообразности и уровня оцененного риска
|
|
Связанный с возможностью прерывания деятельности в результате реализации угроз ИБ
|
Оценка уровня соблюдения требования к непрерывности предоставления финансовых услуг;
оценка уровня защиты информации в соответствии с требованием законодательства РФ
|
Оценка выполняется на основе результатов прохождения поставщиком услуг внешнего независимого аудита
|
Операционные расходы (убытки) организации БС РФ, связанные с нарушением непрерывности предоставления финансовых услуг в результате НСД к ее информационной инфраструктуре или информационной инфраструктуре поставщика услуг
|
Принимается самостоятельно организацией БС РФ на основании анализа показателей экономической целесообразности и уровня оцененного риска
|
|
Связанный с реализацией инцидентов ИБ
|
Оценка уровня защиты информации в соответствии с требованием законодательства РФ;
оценка потенциала организации БС РФ обеспечить контроль уровня обеспечения ИБ после заключения соглашения с поставщиком услуг
|
Оценка выполняется на основе результатов прохождения поставщиком услуг внешнего независимого аудита
|
Общая сумма операций по переводу денежных средств, включая электронные денежные средства, осуществляемых через организацию БС РФ с использованием электронных технологий;
среднеквартальный остаток денежных средств, находящихся на корреспондентских счетах организации БС РФ, открытых в расчетных центрах платежных систем, в том числе в платежной системе Банка России;
операционные расходы (убытки) организации БС РФ, связанные с нарушением непрерывности предоставления финансовых услуг в результате НСД к ее информационной инфраструктуре или информационной инфраструктуре поставщика услуг
|
Принимается самостоятельно организацией БС РФ на основании анализа показателей экономической целесообразности и уровня оцененного риска
|
|
Связанный с возникновением зависимости от поставщика услуг
|
Оценка потенциала организации БС РФ обеспечить ИБ в случае отказа поставщика услуг от выполнения своих обязательств
|
Собственная оценка организации БС РФ, выполненная ее работниками;
оценка, выполняемая аудиторской или консалтинговой организацией (независимой от поставщика услуг)
|
Утрата организациями БС РФ необходимых компетенций, знаний и навыков, необходимых для обеспечения ИБ при необходимости возврата выполнения существенных функций с использованием собственных ресурсов;
неприемлемые финансовые затраты организаций БС РФ на обеспечение должного уровня ИБ в случае отказа поставщика услуг от своих обязательств;
невозможность обеспечить должный уровень ИБ при возврате выполнения существенных функций в течение периода времени, приемлемого для организаций БС РФ
|
Принимается самостоятельно организацией БС РФ на основании анализа показателей экономической целесообразности и уровня оцененного риска;
однозначная невозможность передачи выполнения существенных функций на аутсорсинг в случае отсутствия у организации БС РФ стратегии "выхода"
|